Kali Purple ist ein neues Projekt der Kali-Entwickler, das sich vor allem auf die Verteidigung von Netzwerken konzentriert und auf das Cybersecurity-Framework der NIST. In diesem Video-Tipp zeigen wir die Möglichkeiten und den Einsatz dieses neuen Security-Tools, das sich vor allem an die verteidigenden Blue-Teams richtet.
Ein neues Kali-Projekt „Purple“ für die Netzwerk-Verteidigung vereint Tools für Red-Teams und Blue-Teams.
(Bild: Tierney - stock.adobe.com)
Herkömmliche Kali-Installationen sind eher offensiv ausgerichtet und können aggressive Pentests für Red Teams durchführen. Red Teams haben die Aufgabe durch Hacking-Angriffe die Schwachstellen im Netzwerk zu finden (Offensive Security/Ethical Hacking), um diese vor dem Angriff echter Cyberkrimineller schließen zu können. Die Kali-Entwickler bezeichnen Kali Purple auch als SOC In-A-Box.
In diesem Video-Tipp zeigen wir, welche Möglichkeiten Kali Purple für Tests der Verteidigung gegen Angreifer bietet.
Kali Purple ist eine von der herkömmlichen Kali-Version unabhängige Sicherheitsdistribution, bei der standardmäßig andere Tools vorinstalliert sind. Da Kali Purple noch früh in der Entwicklung steht, ist der Entwicklungsstand noch nicht so weit fortgeschritten, wie bei der bisher bekannten Kali-Version. Allerdings nutzen Kali und Kali Purple die gleichen Paketquellen für die Installation der Tools. Das lässt sich m Terminal von Kali mit dem folgenden Befehl überprüfen:
cat /etc/apt/sources.list
Dadurch lassen sich auf beiden Plattformen alle Tools nachinstallieren, die Red, Blue und Purple Teams benötgen. So fehlt bei Kali Purple zum Beispiel die Burp Suite, die sich im Terminal aber problemlos nachinstallieren lässt:
sudo apt install burpsuite
Umgekehrt lassen sich in der herkömmlichen Kali-Distribution Tools aus Karli Purple nachinstallieren, zum Beispiel das Cisco Auditing Tool CAT):
sudo apt install cisco-auditing-tool
Unter der Haube sind die Distributionen also sehr ähnlich, die Tool-Auswahl unterscheidet sich.
Kali Purple ist das Security Operation Center für KMU
Das neue Kali-Projekt „Kali Purple“ konzentriert sich, eben offensiven Tools für das Red Team auch auf das Blue Team, das seinen Fokus in der Verteidigung von Netzwerken hat und daher der "Gegenspieler" des Red Teams ist.
Das Purple Team ist Kombination aus Red Team und Blue Team und ist für Angriff und Verteidigung bereit. Auf diese Teams konzentriert sich Kali Purple. In der Sicherheits-Distribution sind daher Tools für Angreifer und für Verteidiger dabei, während sich herkömmliche Kali-Distributionen bisher vor allem auf Red Teams konzentriert haben. Die Kali Purple-Distribution lässt sich direkt auf der Webseite des Projekts kostenlos herunterladen, Dort findet sich dann auch die Kali Purple Dokumentation.
In diesem Video-Tipp zeigen wir, welche Möglichkeiten Kali Purple für Tests der Verteidigung gegen Angreifer bietet.
Offensive Tools für Pentests gibt es seit Jahren in Kali-Linux. Mit Kali Purple kommen Analyse-Tools wie Arkime, Schwachstellen-Scanner wie Greenbone Vulnerability Manager(GVM) und weitere Intrusion Detection-Systeme wie Suricata zum Einsatz. Weitere Beispiele sind CyberChef, Elasticsearch SIEM (Security Information and Event Management), TheHive, Malcolm und Zeek.
Diese Tools sind Bestandteil von Kali Purple, das Blue/Purple Team kann aber natürlich alle anderen Tools nutzen, die bisher in Kali für das Red Team gedacht waren. Ebenfalls dabei sind Frameworks für die Automatisierung. Der Kali Autopilot hilft dabei Skripte zu erstellen. Es gibt dafür auch Vorlagen, die zum Einsatz kommen können. Diese sind auf dem Kali Purple Hub verfügbar.
Es lassen sich aber nahezu beliebig weitere Tools installieren. Als Basis von Kali kommt Debian zum Einsatz. Es ist daher problemlos möglich andere Debian-Security-Tools ebenfalls auf Kali Purple zu installieren.
Kali Purple nutzt das NIST Cybersecurity Framework
Das US National Institute of Standards and Technology (NIST) stellt ein Framework für Cybersecurity zur Verfügung, das Standards, Richtlinien und Praktiken bietet, mit denen sich Netzwerke absichern lassen. Diese Säulen der National Institute of Standards and Technology Critical Infrastructure Cybersecurity (NIST CSF) sind in Kali Purple abgebildet.
Die Vorgehensweisen sind in fünf Domänen untergliedert: Identify, Protect, Detect, Respond, Recover. Diese fünf Domänen sind als Programmgruppen in Kali Purple ebenfalls verfügbar. Unter jeder Programmgruppe befinden sich Tools, die für den Einsatz in der jeweiligen Säule (Pillar) zum Einsatz kommen können. Dabei sind nicht unbedingt nur neue Tools dabei. Auch Standard-Tools der herkömmlichen Kali-Distribution sind für Blue und Purple Teams einsetzbar, zum Beispiel Maltego.
Erste Schritte mit Kali Purple
Nach dem Download von Kali Purple lässt sich die neue Version auf physischen und auf virtuellen Computern installieren. Derzeit gibt es keine Live-Distribution oder vorgefertigte VM-Images. Das kann sich aber jederzeit ändern. Dabei können zum Beispiel VMware-Produkte, Virtualbox oder auch Hyper-V zum Einsatz kommen. Die Installation wird über einen Assistenten durchgeführt. Nach der Installation ist es sinnvoll im Terminal zunächst alle Pakete zu installieren. Das erfolgt mit den Standard-Befehlen von Debian:
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
sudo apt update -y && sudo apt upggrade -y
Wenn Kali Purple aktuell und neu gestartet ist, stehen die neuen Versionen zur Verfügung und Tools für Red Teams und Blue Teams lassen sich in einer gemeinsamen Oberfläche nutzen. Während Red Teams aktiv nach Schwachstellen im Netzwerk suchen, prüfen Blue Teams ob die Sicherheitsmaßnahmen im Netzwerk ausreichen. Das Purple Team übernimmt beide Aufgaben.
Wie bei der herkömmlichen Kali-Distribution sind in Kali Purple die Tools in verschiedenen Gruppen unterteilt, wie zum Beispiel "Identifizieren", "Schützen", "Erkennen" und "Reagieren". Allerdings sind in den Programmgruppen in vielen Fällen andere Tools enthalten, die sich vor allem an Blue Teams richten.
In diesem Video-Tipp zeigen wir, welche Möglichkeiten Kali Purple für Tests der Verteidigung gegen Angreifer bietet.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/d0/dcd02b0e224172de8ca49e81daacbcbf/0129856210v2.jpeg "Die Eskalation zwischen Iran, Israel und den USA wirkt laut Unit 42 auch in Europa nach: Während komplexe Angriffe aus Iran kurzfristig erschwert sein könnten, würden Aktivitäten von Hacktivisten zunehmen. Europäische Organisationen müssen daher mit mehr Phishing-, DDoS- und Hack-and-Leak-Angriffen sowie opportunistischen Kampagnen rechnen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2a/f2/2af2ef0e1fad48c259f0d53dc7ebeaa5/0129784426v2.jpeg "Die Zusammenarbeit zwischen Deutschland und Israel soll eine enge Kooperation beim Aufbau des deutschen „Cyberdome“ umfassen, damit Deutschland von Israels Erfahrungen bei der automatisierten Erkennung und Blockierung von Cyberangriffen sowie aus gemeinsamen Abwehrübungen praxisnahe Erkenntnisse für den Bevölkerungsschutz gewinnt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/2c/1c2c56c2cb8fe952631e9741158f7c7f/0125129708v1.jpeg "Shai-Hulud kompromittierte über 25.000 GitHub-Repositories im NPM-Ökosystem. Im Deep-Dive-Video mit Mondoo zeigen wir, wie man Supply-Chain-Angriffe rechtzeitig erkennen kann und welche Schutzmethoden es gibt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/3d/65/3d65dcec21534995555cc3e6d1162102/0129290787v1.jpeg "Mit mehr als 180.000 Besuchern in 2025 ist die VivaTech eines der größten Start-up- und Tech-Event Europas. Der Veranstalter, Viva Technology, gibt jedes Jahr vorab eine internationale Umfrage in Auftrag. (Bild: VivaTech)")
:quality(80)/p7i.vogel.de/wcms/0c/54/0c54424dab7e712b7bb27c8a7ffe5ea0/0129817433v1.jpeg "Die Kommerzialisierung von KI-Crimeware: Dark LLMs, Deepfake-as-a-Service und automatisierte Phishing-Kits werden für wenige Dollar monatlich angeboten. (Bild: © Piyaporn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/3c/463c5e6652bc38681a5cd467c57edb65/0129737222v1.jpeg "Microsoft-CEO Satya Nadella bei der Eröffnungs-Keynote der AI Tour in München. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/bd/eb/bdebce8b595a259020d21d00a9282ae3/0129678262v2.jpeg "Bei erfolgreicher Ausnutzung der Sicherheitslücke CVE-2026-26119 im Windows Admin Center könnten Angreifer unter bestimmten Bedingungen vollständige Administratorrechte im Netzwerk ihrer Opfer erlangen und so eine umfassende Kompromittierung der gesamten Domäne ermöglichen. (©sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/6b/f56b4f03a15167df363e6c0ab64fb7ce/0129786443v2.jpeg "Die IT-Defense 2026 fand vom 3. bis 4. Februar in Würzburg statt. Der finnische Security-Experte Sami Laiho hielt den Vortrag „Cyberwar between Russia and Finnish Companies“. (Bild: Dr. Wilhelm Greiner)")
:quality(80)/p7i.vogel.de/wcms/91/8e/918e589e4ee9bb4c02dad8354f57045b/0128846297v1.jpeg "Cloud-Dienste, digitale Kommunikation und globaler IT-Support machen internationale Datentransfers für viele Unternehmen in Deutschland unverzichtbar. (Bild: © Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/97/6697cc7bd2918128a8f649b94cb00223/0129719820v1.jpeg "Passwortsicherheit wird oft als nachträglicher Fix behandelt, aber 22 Prozent aller Datenlecks gehen auf missbrauchte Credentials zurück. Unternehmen müssen ihr dieselbe Priorität wie Penetrationstests einräumen. (Bild: © igor.nazlo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/2b/4b2bb466fc80efe5afbb9151c95da928/0129796745v1.jpeg "Mehr Awareness durch Security Posture Management, ein Interview von Oliver Schonschek, Insider Research, mit Andreas Müller von Delinea. (Bild: Vogel IT-Medien / Delinea / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2e/40/2e40e56693da64739ef54abf30a0413f/0127316436v2.jpeg "Bei „VeRA“ handelt es sich um eine Analyse-Software des US-Unternehmens Palantir, mit der die Polizei große Datenmengen aus unterschiedlichen Quellen zusammenführen, durchsuchen und Verbindungen zwischen Personen, Ereignissen und Informationen sichtbar machen kann. (©Eisenhans - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/c7/3dc7db4913400b59cbec945b73c616bd/0129828020v2.jpeg "Viele Unternehmen sind von der NIS2-Umsetzung überfordert. Eine strukturierte Checkliste übersetzt die ENISA-Anforderungen in prüfbare Schritte und ermöglicht die systematische Selbsteinschätzung. (Bild: © Ticha - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/de/82/de828351d24ce22947e9c469931ffd20/0126593157v1.jpeg "Eine Post-Incident Review (PIR) ist eine strukturierte Nachbetrachtung eines (Cyber-)Vorfalls, um die Ursachen zu verstehen und ähnliche Ereignisse zukünftig zu verhindern. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/38/3f/383f9da55941659da2eff3eb2b0c1c75/0114836453.jpeg "Kali Purple lässt sich als VM in Hyper-V installieren.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/58/5e/585ee68ed64df6784519f4940dec4ad8/0114836655.jpeg "Kali Purple stellt andere Tools zur Verfügung als herkömmliche Kali-Installationen, es lassen sich aber alle Tools nachinstallieren. Basis ist das NIST-CSF.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/94/2a/942a32db9fdc172b574505c731b89abd/0114836654.jpeg "Tools wie Maltego sind auch in Kali Purple verfügbar.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/a1/9f/a19f02a1110b7ce09229681f6b10397b/0114836657.jpeg "Über das Terminal lassen sich in Kali Purple auch Tools aus herkömmlichen Kali-Distributionen installieren.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/b0/14/b0146dc7ea5aff7bba1174a3f72146e0/0125480543v1.jpeg "Bloodhound und Sharphound bilden eine wichtige Basis für die Analyse von Active Directory. Zum Einsatz kommt dabei auch Neo4j. (Bild: Microsoft | Joss)")
:quality(80)/p7i.vogel.de/wcms/ce/f7/cef74dd6fe9efa5a2308b56b0dba6c02/0126562450v1.jpeg "Edward Snowden empfiehlt Qubes OS für kompromisslose Sicherheit. Das Linux-System trennt Anwendungen in isolierte Qubes und schützt so auch im Alltag vor Angriffen. (Bild: © EAStevens - stock.adobe.com)")